利用AIR-GATE 3G路由器和VPN基礎設施

實現(xiàn)安全的工業(yè)遠程訪問

    在工業(yè)和其他相關領域遠程訪問世界各地的電子設備和機器設備正在迅速獲得重視。專家們指出遠程控制和監(jiān)控是提高生產率和降低成本，并在執(zhí)行過程中實現(xiàn)企業(yè)獲利的重要機制。工業(yè)機器對這方面信息的需求是重要的，公司管理者能夠了解工廠的當前運行情況并可迅速采取行動。通過網絡遠程訪問已安裝的設備將大大降低了維護成本，優(yōu)化了監(jiān)測過程并消除需要遠距離現(xiàn)場問題確認，從而對工業(yè)工廠不受地域限制的遠程控制。

    過程變量-網關-VPN和PC之間的集成構成了智能環(huán)境概念的技術基礎，其中生成的信息可以在多個平臺和應用程序之間共享，從而允許對某些設備實現(xiàn)安全控制和遠程監(jiān)控。智能環(huán)境的概念包括不同的技術，例如傳感器網絡和嵌入式系統(tǒng)，它們一起工作以跟蹤設備狀態(tài)，例如位置、溫度和運動。

    關于這種類型遠程連接的一個重要因素是信息和連接的安全性。任何遠程訪問都意味著數據通過公共網絡傳輸，確?，F(xiàn)場收集的信息的完整性和機密性對于可靠的遠程操作至關重要。在主要安全工具中，我們有防火墻，它是公共網絡和私有網絡之間進入的重要屏障，通過限制網絡上的可用端口、可以通過網絡設置分組類型、允許的協(xié)議等。關于信息安全的另一個要點是加密，其目的是創(chuàng)建不屬于VPN（虛擬網）的那些人不能理解的數據序列，也就是說只有真正的接收者才能理解原始數據。有一些協(xié)議負責為VPN連接提供安全性和加密，其中常用的是IPSec（IP安全協(xié)議），它是IP擴展旨在為網絡中攜帶的分組提供更大的安全性和隱私，能夠以兩種模式使用，傳輸模式和隧道模式。在傳輸模式中，只有消息被加密，IP報頭沒有被修改。在隧道模式中，IP分組被*加密，因此有必要封裝一個新的IP分組來分發(fā)它。

    工業(yè)機器集成大量的嵌入式系統(tǒng)，有的連接到通信網絡或有的沒有。這些機器可以具有傳感器和執(zhí)行器，以實現(xiàn)監(jiān)測和控制操作。在本文中，我們將介紹AirGate-3G路由器作為網關，通過Modbus TCP，使用移動數據連接，在網絡架構中充當VPN客戶端來讀取FieldLogger的應用和配置。在這種類型的解決方案中我們有以下拓撲結構：

所提出的體系結構規(guī)定FieldLogger將通過其以太網端口物理地連接到AirGate3G，并使用移動數據連接，調制解調器作為客戶機連接到公司的VPN服務器，執(zhí)行認證過程并接收內部網絡IP，使它可以通過監(jiān)控軟件看到PC端，下面將詳細說明這個連接的細節(jié)。

    由于要讀取的設備將連接到AirGate-3G的網絡端口，所以具有設備的網絡板的物理地址很重要，因為當我們配置DHCP服務器調制解調器端口時，必須具有靜態(tài)租約，使得AirGate-3G總是打開，它分配相同的IP地址到它的物理連接設備。這個過濾器使用連接設備的網絡板的MAC地址，因為這總是相同的。需要重點指出的是，為租約保留的地址必須超出為該端口的DHCP保留的IP的范圍。使用稱為網絡地址轉換（NAT）的路由器特性讀取網絡末端的設備，NAT是一種協(xié)議，顧名思義，它將IP地址和TCP/UDP端口從本地網絡轉換到因特網。也就是說，IP關系將被闡述：請求者的端口與目的地端口IP地址的連接。
AirGate-3G的作用是執(zhí)行這個“翻譯”并重定向連接。

     在圖2，以太網端口3G路由器的DHCP服務器被激活并且靜態(tài)租約配置區(qū)域數據記錄器MAC地址:00:26:A4:00:00:9E：IP地址:192.168.0.2，超出DHCP保留的IP范圍。這將確保在進行NAT調制解調器配置服務，你可以有固定的目標IP地址。

    在該圖中， 配置PC-Server指的是負責此訪問的計算機，其IP固定為10.51.11.195，并且無論連接上請求的端口如何，它終都將訪問設備。第二Modbus連接指示任何試圖通過計算機VPN ModBus TCP端口(端口502)訪問3G路由器的計算機(地址0.0.0.0允許任何IP請求者包括在此規(guī)則中)也將訪問ModBus TCP端口(502)上的數據寄存器。第三個連接也一樣，從哪里請求連接到文件傳輸服務器（FTP:PATH 21）。

    由于該解決方案中的互聯(lián)網連接提供商是移動數據載體，因此為SIM卡提供的IP是私有的，并且用于運營商的*訪問。為了能夠通過其IP地址訪問3G路由器，它必須與請求連接的機器在同一網絡上。使這種連接可行的解決方案是在調制解調器上使用VPN隧道，將使用其外部IP，再加上VPN服務器上經過身份驗證的用戶和密碼，從而可以在公司的網絡上查看。路由器支持目前市場上使用的主要VPN協(xié)議，主要是IPvsec上的OpenVPN、PPTP和L2TP。

    另外是在3G路由器中設置OpenVPN客戶端的示例。有必要輸入VPN服務器提供的信息（EX: 服務器IP地址、端口、壓縮、加密等）。若要將路由器驗證到VPN，可以使用以下選項：

Pre-shared 預共享

User/Password 用戶/密碼

X.509 certificate X.509證書

X.509 certificate + User / password  X.509證書+用戶/密碼

    X.509證書，它數字證書的格式，通常以這樣的方式使用，一個名稱可以安全地連接到一個公鑰，允許強大的身份驗證。本地IP地址將是SCADA軟件可以查看3G路由器的地址，并且在訪問該地址時，NAT調制解調器功能將生效，以便重新定向連接以讀取數據記錄器中寄存器信息。

    因此使用具有移動數據連接的3G路由器和基于OpenVPN協(xié)議的VPN對設備的遠程訪問的應用基于以下支柱：

使用數據記錄器的MAC地址的靜態(tài)IP租約；

VPN客戶端配置（在這種情況下，OpenVPN客戶端）；

地址轉換和重定向規(guī)則（NAT）的配置；

在不放棄數據安全性的情況下實現(xiàn)對機器和設備的遠程訪問的技術與工業(yè)自動化市場的技術趨勢并駕齊驅。借助于市場上可用的解決方案，可以部署幾個不同大小的應用程序，從而降低維護成本，提高生產率。